漏洞信息
# Apache Arrow:恶意数据文件加载导致任意代码执行
## 漏洞概述
PyArrow 版本 0.14.0 到 14.0.0 中的 IPC 和 Parquet 读取器存在未信任数据的反序列化漏洞,可能导致任意代码执行。
## 影响版本
- PyArrow 0.14.0 至 14.0.0
## 漏洞细节
应用程序如果从不信任的数据源(例如用户提供的输入文件)读取 Arrow IPC、Feather 或 Parquet 数据,则可能受到此漏洞影响。此漏洞仅影响 PyArrow,不涉及其他 Apache Arrow 实现或绑定。
## 影响
- 允许任意代码执行
## 推荐措施
- 升级到 PyArrow 14.0.1 或更高版本。
- 下游库应将依赖升级到 PyArrow 14.0.1 或更高版本。PyPI 包已可用,conda-forge 包即将发布。
- 如果不能升级,使用 `pyarrow-hotfix` 包禁用旧版本 PyArrow 中的漏洞。请参考:https://pypi.org/project/pyarrow-hotfix/ 获取安装说明。
神龙判断
是否为 Web 类漏洞: 否
判断理由:
否。这个漏洞涉及的是PyArrow库在处理不受信的数据时的问题,具体是在IPC和Parquet读取器中反序列化不受信数据,这可能允许执行任意代码。这主要是因为应用程序如果从不受信来源读取Arrow IPC、Feather或Parquet数据(如用户提供的输入文件)时会受到影响。这种漏洞更倾向于影响使用PyArrow库的应用程序的客户端或服务端的数据处理部分,而非Web服务的服务端本身。但是,若该库被用于Web服务的后端处理逻辑中,则Web服务也可能受到影响。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
PyArrow, PyArrow: Arbitrary code execution when loading a malicious data file
漏洞描述信息
Deserialization of untrusted data in IPC and Parquet readers in PyArrow versions 0.14.0 to 14.0.0 allows arbitrary code execution. An application is vulnerable if it reads Arrow IPC, Feather or Parquet data from untrusted sources (for example user-supplied input files). This vulnerability only affects PyArrow, not other Apache Arrow implementations or bindings. It is recommended that users of PyArrow upgrade to 14.0.1. Similarly, it is recommended that downstream libraries upgrade their dependency requirements to PyArrow 14.0.1 or later. PyPI packages are already available, and we hope that conda-forge packages will be available soon. If it is not possible to upgrade, we provide a separate package `pyarrow-hotfix` that disables the vulnerability on older PyArrow versions. See https://pypi.org/project/pyarrow-hotfix/ for instructions.
CVSS信息
N/A
漏洞类别
可信数据的反序列化
漏洞标题
Apache Arrow 代码问题漏洞
漏洞描述信息
Apache Arrow是美国阿帕奇(Apache)基金会的一款用于内存数据处理的跨语言开发平台。该平台支持C、C++、C#、Go和Java等编程语言,并提供进程间通信等功能。 Apache Arrow 0.14.0版本至14.0.0版本存在安全漏洞,该漏洞源于存在不受信任的数据反序列化,允许攻击者执行任意代码。
CVSS信息
N/A
漏洞类别
代码问题